Moin Rolf,

password

Die Spec sagt, true - unter anderem - wenn:

element is an input element whose type attribute is in either the Text, Search, Telephone, URL, or Email state and is mutable;

wenn ich das Passwort anzeigen lassen möchte, wird aus type="password" → type="text" und damit würden die ganzen Späße auf einmal aktiv, sofern man sie nicht schon für das Passwort-Feld abschaltet.

Viele Grüße
Robert

Hallo Gunnar,

Edge (126) kann das: .
Das Auge im Inputfeld zeigt das PW an (aber nur, solange man das Feld nicht verlässt) und der Anzeigen-Button daneben ist von der Webseite und schaltet auf type="text" um.

Chrome tut's nicht. Es gibt wohl einen Unterschied zwischen der Rendering-Engine und der Darstellung des gerenderten Ergebnisses. Very Strange. Oder es liegt dran, dass ich auf diesem gemanagten Gerät hier seit ein paar Monaten keine Chrome-Updates mehr hinkriege 😟

Diese freundliche KI-Unterstützung durch einen „Copiloten“ scheint aber eher Microsoft anzulasten zu sein, von denen ist die alte Attributversion wohl gekommen, die jetzt unter anderem Namen standardisiert wurde. Zumindest hatte ich beim Suchen nach den Attributnamen diesen Eindruck.

Rolf

Moin Gunnar,

Ach du Scheiße! Google ist mal wieder das Web und seine Nutzer scheißegal.

hat Google jemals gesagt, für wen »don’t be evil« gelten soll?

Für Passwort-Felder, deren type man zum Anzeigen des Passworts umschalten kann, ist der „Schreibvorschlag“ damit ein weiteres Attribut, das man zwingend als Nicht-Default angeben muss 😕

Ach du Scheiße! Und solange sich das nicht herumgesprochen hat?

Bewusstsein schaffen, solange sich das nicht herumgesprochen hat oder es effektive Lösungen gibt wie:

Es wird Zeit, dass die Passwort-anzeigen-Funktion endlich dort implementiert wird, wo sie hingehört: in den Browsern! Das Password muss im Klartext angezeigt werden können, ohne dass der Typ des Eingabefeldes von password auf text geändert wird.

Alternativ kann man ein output anzeigen und das Passwortfeld verstecken, wie ich gerade ausprobiert habe.

Viele Grüße
Robert

@@Gunnar Bittersmann

Bei meiner Recherche stieß ich auf Chris Coyiers Artikel The Options for Password Revealing Inputs (Oktober 2021).

Option 1: Use type="password", then swap it out for type="text" with JavaScript war der Stein des Anstoßes hier im Thread; das wollen wir ja gerade vermeiden.

Option 2: Use -webkit-text-security in CSS sieht trotz Vendor-Präfix vielversprechend aus; das wird von allen gängigen Browsern unterstützt – für Texteingabefelder.

Und jetzt ratet mal, für welche Elemente das kein Browser unterstützt!
Genau! Für Passworteingabefelder! 🤔😫🤮

☞ reveal password, -webkit-text-security – type="text" gesetzt: die Umschaltung funktioniert. Für type="password": nö, nirgends. Es ist mir auch nicht gelungen, den Browserdefault zu überschreiben – weder mit !important noch mit @layer noch durch Setzen der CSS-Eigenschaft direkt mit JavaScript.

Beim einzigen Element, wo man dieses CSS-Feature sinnvoll anwenden könnte, kann man es nicht anwenden. W T F!

Zur Erinnerung: type="text" zu setzen ist ja gerade das, was wir nicht wollen.

Option 3: input-security in CSS ist (fast) dasselbe als Versuch eines Standards; Browserunterstützung: keine. Wird wohl auch nicht kommen, denn wie im aktuellen Editor’s Draft zu lesen steht: “The CSS-WG has agreed that while be believe that providing this piece of functionality to users is important, doing it via CSS+JS is the wrong approach, and that instead it should be built into user agents.”

Ähm, sag ich doch:

Es wird Zeit, dass die Passwort-anzeigen-Funktion endlich dort implementiert wird, wo sie hingehört: in den Browsern! Das Password muss im Klartext angezeigt werden können, ohne dass der Typ des Eingabefeldes von password auf text geändert wird.

Dort verlinkt: ein Github-Issue zum Entfernen von input-security aus dem Standard. Darin eine Diskussion vom Januar 2022. Was hat sich seitdem getan? input-security steht immer noch im Workung Draft und Passwort anzeigen wurde immer noch nicht in Browsern implementiert (außer Edge unter Windows?).

Wenn’s um developer experience geht, sind die Browserentwickler schnell. Aber hier geht’s ja nur um user experience …

Kwakoni Yiquan

Moin Matthias,

Dazu einige Fragen/Bitten:

• Wie sieht das writingsuggestions Beispiel bei Euch aus? (Nur Chromium-Browser)
  Bei mir wird im Satz: "Es war einmal ein Mächen, das durch den Wald ging" nur das Wort Mächen rot unterringelt und mit 3 Textvorschlägen ergänzt; das falsche das wird nicht bemängelt.

welche „falsche ‚das‘“? Das ist hier doch ein Relativsatz. (Oder vermutest Du, dass die „KI“ mit gängigen Texten aus dem „Internetz“ trainiert worden ist? 😉).

Viele Grüße
Robert

Moin Matthias,

Neu ist der Abschnitt Eingabehilfen

Dazu einige Fragen/Bitten:

• Wer könnte auf einem Android-Gerät einen Screenshot des autocomplete-Beispiels mit autocomplete="new-password" machen?

Chrome auf Android zeigt nichts Besonderes an, allerdings bietet Firefox ein automatisch generiertes Passwort an:

• Wie sieht das writingsuggestions Beispiel bei Euch aus? (Nur Chromium-Browser)

Ab welcher Version soll da denn etwas implementiert sein?

Viele Grüße Robert

Moin Matthias,

• Wie sieht das writingsuggestions Beispiel bei Euch aus? (Nur Chromium-Browser)
  Bei mir wird im Satz: "Es war einmal ein Mächen, das durch den Wald ging" nur das Wort Mächen rot unterringelt und mit 3 Textvorschlägen ergänzt; das falsche das wird nicht bemängelt.

wie sollen denn die Vorschläge genau funktionieren? Gibt es da eine

• bestimmte Browser-Einstellung
• Tastenkombination
• Kontextmenü
• Hardware

die ich verwenden muss?

Viele Grüße
Robert

Aloha ;)

Selbst autocomplete=off wird bei aktivertem Passwortmanager (Firefox), Google Passwortmananger (Chrome) bzw Microsoft Wallet (Edge) ignoriert und alle bisher je eingegebenen Passwörter zum Einfügen angeboten.

Ja - das entspricht auch meimer Erfahrung. Dieses Attribut wird bei Passwortfeldern schlicht ignoriert.

Besonders schlimm ist das bei "uneigentlichen" Passwortfeldern - also Passwörtern, die nicht wie ein normales Passwort zum Anmelden verwendet werden.

Zwei Beispiele aus dem Kontext von DAFUK^[1]:

• Eingabe der Antwort auf eine zufällig gestellte Sicherheitsfrage als 2FA: da sich die richtige Antwort jedesmal ändert will man nicht random eine Antwort eingespeichert haben - zumal das fehlende Benutzernamen-Feld in Kombination mit dem existenten Benutzernamenfeld in der vorgelagerten Anmeldemaske sogar dafür sorgt, dass der Passwortmanager dann das korrekterweise gespeicherte Passwort überschreibt

• Eine Einstellungsseite mit IMAP- und SMTP-Zugangsdaten. Auch das sind Anmeldedaten, aber nicht meine, und ich will auch bei leeren Feldern um Gottes willen nicht, dass der Browser hier was voreinfüllt - was er aber tut (in anderen Systemen, z.B. WebUntis und DokuWiki ist das ein riesiges UX-Ärgernis!).

Habt ihr Tipps - außer einer Riesenwarnung, solche Services nur sparsam zu nutzen?

Ich kann zumindest den von mir gewählten alternativen Lösungsweg teilen.

Ich benutze in diesen Fällen, also bei Passwortfeldern für die auf keinen Fall der Passwortmanager einspringen soll, den Input-Type text statt password und erzeuge dann die nötige Abschirmung gegenüber wachsamen über die Schulter blickenden Augen dadurch, dass ich für das Textfeld einen Font verwende, in dem jede Glyphe ein Punkt ist - wie in einem Passwortfeld. Der Passwort-Peeker-Button schaltet dann den fürs Eingabefeld verwendeten Font um. Falls jemand den Font sucht: er heißt text-security-disk.

Grüße,

RIDER

Hallo Matthias,

ein Passwortmanager sollte eigentlich beim ersten Eingeben des Passworts fragen, ob er sich das merken soll. Und als Antwort anbieten: Ja, Jetzt nicht, Nie. Einmal "Nie" gewählt sollte weitere Angebote dieser Art verstummen lassen.

Ansonsten ist das eine Form der Medienkompetenz, die hier erworben werden muss. Die ersten Onlinebanking-Besuche solltest Du ihn nicht allein machen lassen. Bei der Gelegenheit lässt sich der Passwortmanager in die Schranken weisen.

Im Übrigen sind autocomplete und Passwortmanager zwei sehr unterschiedliche Biester. Die Werte für autocomplete sind über alle Webseiten gleich und sollen die Eingabe von Adressen etc einsparen, während ein Passwortmanager nur Usernamen und Passworte merkt und diese „sicher“ im Kontext des Users speichert. Wird ein PC mit gleichem Login von mehreren Personen benutzt, ist ein Passwortmanager eher nicht ratsam.

Oder habe ich das Problem nicht verstanden?

Rolf